Im WordPress Development Blog gibt es Informationen zum Update auf WordPress 2.07, welches nun in der endgültigen Version vorliegt. Es handelt sich um ein Security-Update, welches den kürzlich im Detail bekannt gewordenen Exploit fixen soll. Zudem wird der Fehler beim ausliefern der Feeds im Zusammenhang mit Feedburner behoben.

Da mit diesem Update ein Fehler in PHP umgangen wird, der die Möglichkeit einer SQL-Injection eröffnet, empfehle ich allen ein recht zügiges Update ihrer WordPress Installation.

Folgende Dateien haben sich seit 2.06 geändert:

• wp-admin/inline-uploading.php
• wp-admin/post.php
• wp-includes/classes.php
• wp-includes/functions.php
• wp-settings.php
• wp-includes/version.php

Details zu allen Änderungen findet Ihr hier.

Popularity: 1% [?]

Als ich grad bei Metty wieder davon las fiel mir wieder ein, dass ich auf diesen Exploit noch hinweisen wollte. Er kursiert schon länger und funktioniert leider auch noch unter WordPress 2.06. Der Exploit setzt an der wp-trackback.php an, weitere Details möchte ich hier nicht veröffentlichen, habe an einigen Stellen schon mehr Informationen gefunden.

Eine Vorraussetzung, dass dieser Exploit auch für Eure WordPress-Installation gefährlich werden könnte ist, dass der PHP-Paramter register_globals auf on steht. Dies könnt Ihr zum Einen in der php.ini sehen, sofern Ihr darauf Zugriff habt, zum anderen über die Funktion phpinfo() überprüfen. Sollte bei Euch der Parameter auf on gesetzt sei, schleunigst ändern oder dem Hoster Bescheid geben, dass er die Änderungen vornimmt. Sollte dieser nicht schnell genug reagieren, benennt temporär Eure wp-trackback.php um, auch wenn dann vorübergehend Trackbacks nicht funktionieren. Ist in jedem Fall das kleinere Übel.

Der Exploit basiert im übrigen auf SQL Injection, eigentlich keine neue Sache. Deshalb ist es besonders ärgerlich, dass er immer noch funktioniert. Version 2.07 von WordPress soll das Problem nun wohl endlich beheben, Release Candidate 1 ist bereits verfügbar (von einer Installation in der Produktivumgebung rate ich allerdings ab!).

Popularity: 1% [?]

Da ich seit einiger Zeit aufgrund sehr eigenartiger Backlinks den Verdacht hege, mein Feed wird von anderen für ihre Webseiten/Blogs missbraucht, habe ich heute das WordPress-Plugin ©Feed von Frank Bueltge installiert.

Das Plugin versieht die einzelnen Beiträge im Feed mit einem zusätzlichen Copyright-Hinweis und zudem mit einem Digitalen Fingerabdruck. Genau dieser kann nun verwendet werden, um einen möglichen Contentdieb aufzuspüren, indem man nach diesem Fingerprint beispielsweise bei Google sucht. Besonders schick an diesem Plugin: Es liefert eine intergrierte Suche direkt mit und zeigt auf der Pluginseite mögliche Zweitverwerter an.

Wenn alles klappt wie gewünscht, dann sollte mein Feed ab sofort diesen Copyright-Hinweis enthalten. Und für den Fall dass ich einen dieser kleinen Schmarotzer aufspüren sollte, werde ich an dieser Stelle natürlich darüber berichten.

Popularity: 1% [?]

Autsch! Lese gerade von einer relativ neuen XSS-Sicherheitslücke in WordPress bis Version 2.05.

Das Problem ist fehlerhafter Code in der Datei templates.php (Ordner wp-admin), eine Kurzanleitung zum schließen der Lücke findet Ihr in diesem Beitrag. Ich empfehle, wirklich schnell Abhilfe zu schaffen, dass Problem ist schon seit ein paar Tagen bekannt und es existiert bereits eine Beschreibung für einen Exploit.

Eine neue WordPress-Version (2.06) ist mittlerweile ebenfalls verfügbar und beinhaltet bereits diesen Bugfix, wer aber lieber auf das deutsche Update warten möchte, sollte die oben verlinkten Änderungen unbedingt vornehmen oder zieht sich im WordPress-trac die geänderte templates.php.

Popularity: 1% [?]